Domains beschlagnahmt: Microsoft geht gegen Accountbetrug vor
Die kriminelle Gruppierung "Storm-1152" steht im Fadenkreuz des Softwaregiganten: Sie handelt mit Microsoft-Konten und ermöglicht so weitere Straftaten.
Internet-Kriminelle gehen zunehmend arbeitsteilig vor und kaufen Dienstleistungen oft lieber ein, als sich selber Arbeit zu machen. Das trifft besonders auf Fake-Accounts zu, die spezialisierte Gruppen im großen Stil erstellen und dann an andere Gauner weiterverhökern. Auch Dienste, die Captcha-Grafiken lösen, stehen bei Cybergangstern hoch im Kurs. Microsoft ist gegen zwei dieser illegalen Angebote vorgegangen. Beide stammen von derselben Gruppierung – die zugehörigen Domains und Social-Media-Präsenzen sind jetzt offline.
Fake-Accounts sind ein wichtiges Werkzeug für allerlei kriminelle Aktivitäten – egal, ob Phishing, Vorschussbetrug oder Identitätsklau. Auch Konten für Microsofts Online-Dienst "outlook.com" werden massenhaft missbraucht und erfreuen sich auf Online-Marktplätzen reger Beliebtheit. Die Konten zu erstellen, ist jedoch eine Arbeit, die nicht jedem Gauner liegt – daher bot eine Gruppierung namens Storm-1152 sie gebrauchsfertig zum Kauf an. Unter dem schmissigen Namen "Hotmailbox" boten die Kriminellen seit vergangenem Jahr Outlook-Konten zum Kauf an.
Cybercrime-Tutorials auf Youtube
Das hat nun ein Ende: Microsoft hat Anfang Dezember einen Beschluss bei einem NewYorker Bezirksgericht erwirkt und die Hotmailbox-Webseite beschlagnahmen lassen. Auch drei Dienste, die automatisierte Captcha-Lösungen feilboten, sind nun nicht mehr zugänglich. Der Softwarekonzern hat bei der Ermittlung mit dem Sicherheits-Unternehmen Arkose Labs zusammengearbeitet, das Hintergrundinformationen über Storm-1152 lieferte.
Die Köpfe der Bande sitzen – so Microsofts "Digital Crimes Unit" – in Vietnam. Sie hatten unter ihren Klarnamen auf Youtube Videos mit Anleitungen für ihre illegalen Dienste veröffentlicht, etwa zum Erstellen von Hotmail-Accounts oder das Umgehen von Captchas mittels einer Browser-Erweiterung.
"Cybercrime as a Service" hat sich als Geschäftsmodell durchgesetzt. So gibt es neben den jetzt aufgeflogenen Account-Betrügern auch Ransomware-Dienstleister oder "Initial Access Brokers", die Zugänge in Firmennetze verkaufen. Diese können aus Angriffskampagnen auf bekannte Sicherheitslücken stammen, bisweilen reichen aber auch Firmen-Insider wie etwa verärgerte Ex-Mitarbeiter sie an die Kriminellen weiter.
(cku)